Guía paso a paso sobre el Cifrado de unidad BitLocker de Windows Vista

En esta guía paso a paso se ofrecen las instrucciones necesarias para utilizar el Cifrado de unidad BitLocker™ de Microsoft^® en un entorno de prueba. Se recomienda que siga primero los pasos indicados en esta guía en un entorno de laboratorio de pruebas. Las guías paso a paso no están pensadas necesariamente para que se utilicen en la implementación de características del sistema operativo Microsoft® Windows Vista™ sin la documentación que la acompaña (mencionada en la sección Recursos adicionales), por lo que se deben utilizar con prudencia cuando se empleen como documentos independientes.

Acerca del nombre del producto

Cifrado de unidad BitLocker es el nombre final de la característica para el proyecto al que anteriormente se hacía referencia como "inicio seguro: cifrado de volumen lleno". Algunas versiones preliminares de Windows Vista, todavía emplean el antiguo nombre del proyecto en cadenas de texto y títulos de Windows. En esta guía paso a paso se utiliza el anterior nombre del proyecto donde corresponde como, por ejemplo, al hacer referencia a la interfaz de usuario donde aparece. De lo contrario, se utiliza el nombre actual de la característica.

¿En qué consiste Cifrado de unidad BitLocker?

Cifrado de unidad BitLocker es una nueva característica de seguridad integral en el sistema operativo Windows Vista que proporciona una considerable protección al sistema operativo y datos sin conexión para el equipo. BitLocker garantiza que los datos almacenados en un equipo que ejecute Windows Vista no se desvelarán si el equipo se altera cuando el sistema operativo instalado se encuentra sin conexión. Opcionalmente utiliza un módulo de plataforma de confianza (TPM) para ofrecer una protección mejorada de los datos y garantizar la integridad de los componentes en el preinicio. Esto puede ayudar a proteger los datos de robos o de que se puedan ver sin autorización al cifrar todo el volumen de Windows.

Cifrado de unidad BitLocker se ha diseñado para ofrecer al usuario final una experiencia perfecta con sistemas que tienen un microchip compatible con TPM y BIOS. Un módulo TPM compatible se define como una versión 1.2 de TPM con las adecuadas modificaciones de BIOS necesarias para admitir Static Root of Trust Measurement según se define por el grupo de computación confiable (Trusted Computing Group). TPM interactúa con Cifrado de unidad BitLocker para ofrecer una perfecta protección en el inicio del sistema.

Cifrado de unidad BitLocker también se puede utilizar en equipos sin un módulo TPM compatible. Si se utiliza de este modo, ofrece capacidades de cifrado de volumen pero no la seguridad adicional de la validación de integridad de archivos de preinicio. En su lugar, una unidad flash USB valida la identidad del usuario al inicio.

BitLocker dispone de dos modos de TPM:

• Sólo TPM. Es transparente para el usuario y no cambia la experiencia del mismo en el inicio de sesión. Sin embargo, si falta o se ha modificado TPM, BitLocker introducirá el modo de recuperación y tendrá una contraseña o clave de recuperación para volver a tener acceso a los datos.

• Clave de inicio. El usuario necesitará una clave de inicio para iniciar sesión en el equipo. Esta clave puede ser física (unidad flash USB con una clave legible en el equipo) o personal (un NIP establecido por el usuario).

BitLocker también tiene un modo para los sistemas que no son TPM:

• Clave de unidad flash USB. El usuario inserta una unidad flash USB en el equipo antes de activarla. La clave almacenada en esta unidad desbloquea el equipo.

Destinatarios de Cifrado de unidad BitLocker

Esta guía está dirigida a los siguientes destinatarios:

• Programadores y analistas de TI que evalúan el producto

• Primeros implantadores

• Arquitectos de seguridad

Contenido de esta guía

El propósito de esta guía es ayudar a los administradores a familiarizarse con la característica Cifrado de unidad BitLocker de Windows Vista. Las secciones a continuación proporcionan información y procedimientos básicos que necesitan los administradores para comenzar a configurar e implementar BitLocker en sus redes.

El escenario 1 incluye instrucciones para crear las dos particiones necesarias para Cifrado de unidad BitLocker. El escenario 2 ofrece una guía a través del proceso de activar e inicializar TPM. Los escenarios 3 y 4 explican la forma de cifrar una unidad con BitLocker y TPM. Si no dispone de TPM, siga el escenario 5. El escenario 6 describe la forma de obtener acceso a los datos cifrados tras el bloqueo, así como la manera de generar un bloqueo. El escenario 7 guía a través del proceso de desactivar Cifrado de unidad BitLocker.

• Requisitos para Cifrado de unidad BitLocker

• Escenario 1: Creación de particiones en un disco duro para Cifrado de unidad BitLocker

• Escenario 2: Inicialización de TPM

• Escenario 3: Activación de Cifrado de unidad BitLocker básico

• Escenario 4: Activación de Cifrado de unidad BitLocker con un NIP

• Escenario 5: Activación de Cifrado de unidad BitLocker en un equipo sin TPM

• Escenario 6: Recuperación de datos protegidos mediante Cifrado de unidad BitLocker

• Escenario 7: Desactivación de Cifrado de unidad BitLocker

• Registro de errores y comentarios

• Recursos adicionales

Requisitos para Cifrado de unidad BitLocker

Estos pasos son sólo de prueba. Esta guía no se debería utilizar como único recurso para implementar características de Microsoft Windows Server® Code Name "Longhorn" o Windows Vista.

Nota

Se recomienda que no ejecute un depurador cuando Cifrado de unidad BitLocker se encuentre habilitado. La ejecución de un depurador en el equipo de Cifrado de unidad BitLocker requiere que siga el proceso de recuperación cada vez que reinicie el equipo.

Requisitos de hardware y software

• Un equipo que cumpla los requisitos mínimos para Windows Vista.

• Un microchip TPM, versión 1.2, activado (escenarios 3 y 4).

• BIOS compatible con TCG (Trusted Computing Group) (escenarios 3 y 4).

• Dos particiones de unidad NTFS, una para el volumen del sistema y otra para el volumen del sistema operativo. La partición del volumen del sistema debe tener al menos 1,5 GB y estar establecida como activa (escenario 1).

• Una unidad flash USB, para probar el uso de una unidad flash para almacenar una clave de inicio (escenario 5).

• Una configuración BIOS para iniciar primero desde el disco duro, no las unidades USB o CD.

  Para cualquier prueba que incluya la unidad flash USB, se debe configurar la BIOS para que lea y escriba en una unidad flash USB durante el inicio.

• Para las pruebas en equipos que no son TPM, no es necesario un microchip TPM compatible.

Escenario 1: Creación de particiones en un disco duro para Cifrado de unidad BitLocker

Para que funcione BitLocker, es necesario disponer de dos particiones en la unidad. La primera partición, llamada volumen del sistema, incluye la información de inicio en un espacio no cifrado. La segunda partición, denominada el volumen del sistema operativo, se cifra y contiene datos de usuarios y del sistema operativo. Debe crear estas particiones antes de instalar Windows Vista.

El escenario 1 describe la forma de crear las dos particiones necesarias para Cifrado de unidad BitLocker. En este procedimiento se asume que ha creado una copia de seguridad de todos los datos de la unidad.

• Si tiene una unidad en blanco con una sola partición, siga los pasos de Partición de una unidad sin sistema operativo para BitLocker.

Nota

Asegúrese de que ha realizado una copia de seguridad de todos los datos y que dispone de la clave del producto para Windows Vista.

Partición de una unidad sin sistema operativo para BitLocker

En este procedimiento inicia el equipo desde el DVD del producto y, a continuación, escribe una serie de comandos que realizan lo siguiente:

• Crear una nueva partición como partición primaria.

• Formatear un nuevo volumen de esta nueva partición.

• Crear una segunda partición primaria más pequeña.

• Establecer la partición más pequeña como activa.

• Formatear un segundo volumen de la partición más pequeña.

• Instalar Windows Vista en el volumen más grande (unidad C).

Nota

Debe crear una segunda partición activa para que BitLocker funcione correctamente.

Puede que las letras de unidad no se correspondan con las de este ejemplo. En este ejemplo, el volumen del sistema operativo se denomina C y el volumen del sistema S (para volumen del sistema). También se asume que el sistema sólo tiene una unidad de disco duro física.

Para crear particiones en una unidad sin sistema operativo para BitLocker

1. Inicie el equipo desde el DVD del producto Windows Vista.

2. En la pantalla inicial Instalar Windows, elija Idioma de instalación, Formato de hora y moneda y Distribución de teclado y, a continuación, haga clic en Siguiente.

3. En la siguiente pantalla Instalar Windows, haga clic en Opciones de recuperación del sistema, situado en la parte inferior izquierda de la pantalla.

4. En el cuadro de diálogo Opciones de recuperación del sistema, elija la distribución del teclado y haga clic en Siguiente.

5. En el siguiente cuadro de diálogo Opciones de recuperación del sistema, asegúrese de que no haya seleccionado ningún sistema operativo. Para ello, haga clic en el área vacía de la lista Sistema operativo, debajo de cualquier entrada mostrada. A continuación, haga clic en Siguiente.

6. En el cuadro de diálogo siguiente Opciones de recuperación del sistema, haga clic en Símbolo del sistema.

7. Utilice Diskpart para crear la partición del volumen del sistema operativo. En el símbolo del sistema, escriba diskpart y presione ENTRAR.

8. Escriba select disk 0.

9. Escriba clean para borrar la tabla de partición existente.

10. Escriba create partition primary para establecer la partición que se está creando como de tipo primaria.

11. Escriba assign letter=c para asignar a esta partición el nombre C:.

12. Escriba shrink minimum=1500 para reducir la partición en 1,5 gigabytes al final. De este modo, se crea el espacio para el volumen del sistema.

13. Escriba create partition primary para crear otra partición de tipo primaria en el espacio dejado por el comando de reducción.

14. Escriba active para establecer la nueva partición como activa.

15. Escriba assign letter=s para asignar a esta partición el nombre S.

16. Escriba exit para salir de la aplicación Diskpart.

17. Escriba format c: /y /q /fs:NTFS para formatear correctamente el volumen C.

18. Escriba format s: /y /q /fs:NTFS para formatear correctamente el volumen S.

19. Escriba exit para salir del símbolo del sistema.

20. En la ventana Opciones de recuperación del sistema, utilice el icono de cierre de ventana en la parte superior derecha (o presione ALT+F4) para cerrar la ventana y volver a la pantalla de instalación principal. (No haga clic en Apagar o Reiniciar.)

21. Haga clic en Instalar ahora y continúe con el proceso de instalación de Windows Vista. Instale Windows Vista en el volumen C (el volumen del sistema operativo).

Escenario 2: Inicialización de TPM

En este escenario se describe la forma de inicializar el módulo TPM en el equipo. Para inicializar TPM, debe activarlo y, a continuación, establecer la propiedad del mismo. Los administradores locales responsables de configurar los equipos con TPM pueden encontrar útil este escenario.

Para inicializar TPM en el equipo, siga estos pasos:

• Paso 1: Activar TPM

• Paso 2: Establecer la propiedad de TPM

Paso 1: Activar TPM

Se debe tener activado TPM para que ayude a garantizar la seguridad del equipo.

Los equipos fabricados para que cumplan los requisitos de Windows Vista incluyen la funcionalidad de BIOS de preinicio que facilita la activación de TPM en un equipo a través del asistente de inicialización de TPM. Al principio del inicio, el asistente de inicialización de TPM notifica al usuario si TPM del equipo se encuentra activado o desactivado.

En el siguiente procedimiento se indican los pasos del proceso de inicio del asistente de inicialización de TPM y la activación de TPM.

Nota

Para realizar el siguiente procedimiento, debe iniciar sesión en un equipo con TPM como administrador.

Para iniciar el asistente de inicialización de TPM y activar TPM

1. Haga clic en Inicio, seleccione Todos los programas, elija Accesorios y haga clic en Ejecutar.

2. Escriba tpm.msc en el cuadro Abrir y haga clic en Entrar. Aparecerá la consola de administración de TPM.

3. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección "Recursos adicionales" más adelante en este documento.

4. En Acciones, haga clic en la opción de inicialización de TPM para iniciar el asistente de inicialización de TPM.

   • Si se desactiva TPM, el asistente de inicialización de TPM muestra el cuadro de diálogo Activar el hardware de seguridad del TPM. Este cuadro de diálogo permite activar TPM. Necesitará reiniciar el sistema para poder activar TPM.

   • Si TPM ya está desactivado, el asistente de inicialización de TPM muestra el cuadro de diálogo Crear la contraseña de propietario de TPM.

   • Si el asistente de inicialización de TPM detecta que la BIOS del sistema no cumple los requisitos de Windows Vista, no podrá continuar con el asistente y se le avisará que consulte la documentación del fabricante del equipo para obtener instrucciones sobre la activación de TPM.

5. Haga clic en Apagar (o Reiniciar) y, a continuación, siga las indicaciones en pantalla de la BIOS.

   Nota

   Las indicaciones y controles en pantalla de la BIOS variarán.

   Nota

   Tras el reinicio, se muestra un mensaje de aceptación para asegurarse de que el usuario actual, y no un software malicioso, está activando TPM.

Paso 2: Establecer la propiedad de TPM

Es necesario un propietario para TPM a fin de ayudar a garantizar la seguridad del equipo. Al establecer el propietario de TPM, asigna una contraseña de modo que sólo el propietario de TPM autorizado pueda tener acceso y administrar TPM. Utilice la contraseña de TPM para desactivar TPM o borrarlo si el equipo precisa reciclarse. Siga el procedimiento a continuación para establecer la propiedad de TPM a través del asistente de inicialización de TPM.

Nota

Deberá haber iniciado la sesión como administrador para establecer la propiedad de TPM.

Para establecer la propiedad de TPM

1. Inicie el asistente de inicialización de TPM. Consulte el Paso 1: Activar TPM anteriormente en esta guía.

2. En el cuadro de diálogo Crear la contraseña de propietario de TPM, seleccione Crear contraseña automáticamente (recomendado).

3. En el cuadro de diálogo Guardar la contraseña de propietario de TPM, haga clic en Guardar contraseña y seleccione la ubicación para guardar la contraseña.

4. Vuelva a hacer clic en Guardar. El archivo de contraseña se guarda como nombre_equipo.tpm.

5. Haga clic en Imprimir contraseña si desea imprimir una copia en papel de la contraseña.

   Important

   Se recomienda que guarde la contraseña de propiedad de TPM en medios extraíbles e imprima una copia en papel de la contraseña de clave de recuperación y la guarde en un sitio seguro.

6. Haga clic en Inicializar.

   Nota

   El proceso de inicialización de TPM puede tardar unos minutos en completarse.

7. Haga clic en Cerrar.

   Caution

   No pierda la contraseña. Si lo hace, no podrá realizar cambios administrativos hasta que borre el módulo TPM. Si borra TPM, Cifrado de unidad BitLocker cambiará al modo bloqueado.

Escenario 3: Activación de Cifrado de unidad BitLocker básico

El escenario 3 describe los procedimientos para activar la protección básica de un sistema con TPM. La configuración básica es Cifrado de unidad BitLocker. Después de cifrar el volumen, el usuario inicia sesión en el equipo con normalidad.

Utilice el siguiente procedimiento para activar Cifrado de unidad BitLocker básico.

Antes de comenzar

• Debe tener un TPM compatible activado, inicializado y con propietario antes de activar BitLocker.

• Deberá haber iniciado la sesión como administrador.

• Puede configurar una impresora para imprimir contraseñas de recuperación.

Para activar Cifrado de unidad BitLocker básico

1. Haga clic en Inicio, seleccione Panel de control, haga clic en Seguridad y, a continuación, en Cifrado de unidad BitLocker.

2. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección "Recursos adicionales" más adelante en este documento.

3. En la pantalla Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema.

4. Haga clic en No usar una clave de inicio o NIP.

5. En el cuadro de diálogo Crear contraseña de recuperación, haga clic en Crear una contraseña de recuperación.

6. En el cuadro de diálogo Guardar la contraseña de recuperación, verá las siguientes opciones:

   • Guardar contraseña en una unidad USB. Guarda la contraseña en una unidad extraíble.

   • Guardar contraseña en una carpeta. Guarda la contraseña en una unidad de red u otra ubicación.

   • Mostrar contraseña. Muestra la contraseña en el monitor.

   • Imprimir contraseña. Imprime la contraseña.

   Necesitará la contraseña de clave de recuperación para desbloquear los datos cifrados del volumen si Cifrado de unidad BitLocker introduce un estado bloqueado (consulte el Escenario 6: Recuperación de datos protegidos mediante Cifrado de unidad BitLocker). Esta clave de recuperación es única para este cifrado de BitLocker en concreto. No podrá utilizarla para recuperar datos cifrados de cualquier otra sesión de cifrado de BitLocker.

   Elija cualquiera de estas opciones para mantener la contraseña de recuperación. Guarde las contraseñas de recuperación lejos del equipo como medida de máxima seguridad. Para elegir varios métodos de almacenamiento de contraseñas de clave de recuperación, seleccione uno, siga el asistente para determinar la ubicación donde guardarla o imprimirla y, a continuación, haga clic en Atrás para volver al cuadro de diálogo de almacenamiento de contraseñas de clave de recuperación y elija otro método.

7. Lea la información presentada sobre el cifrado de discos.

8. En el cuadro de diálogo Cifrar el volumen de disco seleccionado, haga clic en Cifrar. Aparecerá la barra de estado Cifrado en curso. Para supervisar el estado de finalización en curso del cifrado del volumen de disco, arrastre el cursor del mouse (ratón) sobre el icono Cifrado de unidad BitLocker en la barra de herramientas en la parte inferior de la pantalla. El cifrado de volumen tarda aproximadamente un minuto por gigabyte en completarse.

   Al terminar este procedimiento, habrá cifrado el volumen del sistema operativo y creado una clave de recuperación única para este volumen. La próxima vez que inicie sesión, no verá ningún cambio. Si alguna vez cambia o no se puede tener acceso a TPM, o si alguien intenta iniciar desde un disco para evitar el sistema operativo, el equipo cambiará al modo bloqueado hasta que se vuelva a suministrar la clave de recuperación.

Escenario 4: Activación de Cifrado de unidad BitLocker con un NIP

Siga este procedimiento para activar Cifrado de unidad BitLocker con un número de identificación personal (NIP).

Antes de comenzar

• Debe tener un TPM compatible activado, inicializado y con propietario antes de activar BitLocker.

• Deberá haber iniciado la sesión como administrador.

• Puede configurar una impresora para imprimir contraseñas de recuperación.

• Puede utilizar una unidad flash USB para guardar la clave de inicio.

Para activar Cifrado de unidad BitLocker con un NIP

1. Haga clic en Inicio, seleccione Panel de control, haga clic en Seguridad y, a continuación, en Cifrado de unidad BitLocker.

2. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección "Recursos adicionales" más adelante en este documento.

3. En la pantalla Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema.

4. Lea la información mostrada sobre Cifrado de unidad BitLocker y haga clic en Siguiente.

5. Haga clic en Establecer un NIP de inicio.

6. En el cuadro de diálogo Establecer un NIP de inicio, escriba y confirme su NIP.

7. Haga clic en Establecer NIP.

8. En el cuadro de diálogo Crear contraseña de recuperación, haga clic en Crear una contraseña de recuperación.

9. En el cuadro de diálogo Guardar la contraseña de recuperación, verá las siguientes opciones:

   • Guardar contraseña en una unidad USB. Guarda la contraseña en una unidad extraíble.

   • Guardar contraseña en una carpeta. Guarda la contraseña en una unidad de red u otra ubicación.

   • Mostrar contraseña. Muestra la contraseña en el monitor.

   • Imprimir contraseña. Imprime la contraseña.

   Necesitará la contraseña de clave de recuperación para desbloquear los datos cifrados del volumen si Cifrado de unidad BitLocker introduce un estado bloqueado (consulte el Escenario 6: Recuperación de datos protegidos mediante Cifrado de unidad BitLocker). Esta clave de recuperación es única para este cifrado de BitLocker en concreto. No podrá utilizarla para recuperar datos cifrados de cualquier otra sesión de cifrado de BitLocker.

   Elija cualquiera de estas opciones para mantener la contraseña de recuperación. Guarde las contraseñas de recuperación lejos del equipo como medida de máxima seguridad. Para elegir varios métodos de almacenamiento de contraseña de clave de recuperación, seleccione uno, siga los pasos del asistente y vuelva a esta pantalla para seleccionar otro.

10. Haga clic en Siguiente.

11. En el cuadro de diálogo Cifrar el volumen de disco seleccionado, haga clic en Cifrar. Aparecerá la barra de estado Cifrado en curso. Para supervisar el estado de finalización en curso del cifrado del volumen de disco, arrastre el cursor del mouse sobre el icono Cifrado de unidad BitLocker en la barra de herramientas en la parte inferior de la pantalla. El cifrado de volumen tarda aproximadamente un minuto por gigabyte en completarse.

    Al terminar este procedimiento, habrá cifrado el volumen del sistema operativo y creado una clave de recuperación única para ese volumen. La próxima vez que inicie sesión, se le pedirá que escriba el NIP. Si se cambia TPM asociado a Cifrado de unidad BitLocker o si alguien intenta iniciar el equipo desde un disco para evitar el sistema operativo, el equipo cambiará al modo de recuperación hasta que se suministre la clave de recuperación. Si se ha olvidado del NIP o no tiene la unidad flash USB con la clave de inicio, cambie al modo de recuperación para iniciar el equipo e introducir la contraseña de recuperación.

    Nota

    En lugar de un NIP, puede configurar una unidad flash USB para que funcione como una clave de inicio. Para obtener más información, consulte el Escenario 5: Activación de Cifrado de unidad BitLocker en un equipo sin TPM.

Escenario 5: Activación de Cifrado de unidad BitLocker en un equipo sin TPM compatible

Siga este procedimiento para activar Cifrado de unidad BitLocker sin TPM.

Antes de comenzar

• Deberá haber iniciado la sesión como administrador.

• Puede tener configurada una impresora para imprimir contraseñas de recuperación.

• Puede utilizar una unidad flash USB para guardar la clave de inicio.

Para activar Cifrado de unidad BitLocker en un equipo sin TPM compatible

1. Haga clic en Inicio, seleccione Panel de control, haga clic en Seguridad y, a continuación, en Cifrado de unidad BitLocker.

2. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección "Recursos adicionales" más adelante en este documento.

3. En la pantalla Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema.

4. En la pantalla Usar una clave de inicio o NIP para mayor seguridad, elija Guardar una clave de inicio en una unidad USB. Se trata de la única opción disponible para configuraciones que no son de TPM.

5. En el cuadro de diálogo Guardar la clave de inicio, elija la ubicación de la unidad flash USB y haga clic en Guardar.

6. En la pantalla Crear contraseña de recuperación, haga clic en Crear una contraseña de recuperación.

7. En el cuadro de diálogo Guardar la contraseña de recuperación, verá las siguientes opciones:

   • Guardar contraseña en una unidad USB. Guarda la contraseña en una unidad extraíble.

   • Guardar contraseña en una carpeta. Guarda la contraseña en una unidad de red u otra ubicación.

   • Mostrar contraseña. Muestra la contraseña en el monitor.

   • Imprimir contraseña. Imprime la contraseña.

   Necesitará la contraseña de clave de recuperación para desbloquear los datos cifrados del volumen si Cifrado de unidad BitLocker introduce un estado bloqueado (consulte el Escenario 6: Recuperación de datos protegidos mediante Cifrado de unidad BitLocker). Esta clave de recuperación es única para este cifrado de BitLocker en concreto. No podrá utilizarla para recuperar datos cifrados de cualquier otra sesión de cifrado de BitLocker.

   Elija cualquiera de estas opciones para mantener la contraseña de recuperación. Guarde las contraseñas de recuperación lejos del equipo como medida de máxima seguridad. Para elegir varios métodos de almacenamiento de contraseña de clave de recuperación, seleccione uno, siga los pasos del asistente y vuelva a esta pantalla para seleccionar otro.

8. Haga clic en Siguiente.

9. En el cuadro de diálogo Cifrar el volumen de disco seleccionado, haga clic en Cifrar. Aparecerá la barra de estado Cifrado en curso. Para supervisar el estado de finalización en curso del cifrado del volumen de disco, arrastre el cursor del mouse sobre el icono Cifrado de unidad BitLocker en la barra de herramientas en la parte inferior de la pantalla. El cifrado de volumen tarda aproximadamente un minuto por gigabyte en completarse.

   Al terminar este procedimiento, habrá cifrado el volumen del sistema operativo y creado una clave de recuperación única para ese volumen. La próxima vez que encienda el equipo, deberá estar conectada la unidad flash USB en un puerto USB del equipo. Si no es así, no podrá tener acceso a los datos en el volumen cifrado. Para tener acceso, necesitará ir al modo de recuperación y suministrar la contraseña de recuperación.

Escenario 6: Recuperación de datos protegidos mediante Cifrado de unidad BitLocker

El escenario 6 describe el proceso para recuperar los datos después de que se haya bloqueado una partición que ejecuta Windows Vista. La partición se bloquea cuando la clave de cifrado del disco no se puede volver a crear automáticamente. A continuación se muestra una lista de las posibles causas:

• El usuario pierde u olvida el NIP o pierde la clave de inicio.

• Se produce un error relacionado con TPM.

• Se modifica uno de los archivos de preinicio.

• Se desactiva por error el módulo TPM y se apaga el equipo.

• Se borra por error el módulo TPM y se apaga el equipo.

Cuando se bloquea un equipo, el inicio termina muy pronto en el proceso de inicio, antes de que comience el sistema operativo. Un equipo bloqueado no puede aceptar números de teclados estándar, por lo que debe emplear las teclas de función para introducir la contraseña de clave de recuperación. Del F1 al F9 representan los dígitos del 1 al 9 y F10 representa el 0.

Este escenario incluye dos pasos:

Para probar la recuperación de datos

1. Haga clic en Inicio, seleccione Todos los programas, elija Accesorios y haga clic en Ejecutar.

2. Escriba tpm.msc en el cuadro Abrir y haga clic en Entrar. Aparecerá la consola de administración de TPM.

3. En Acciones, haga clic en Desactivar TPM.

4. Especifique la contraseña del propietario de TPM, si es necesario.

5. Cuando en el panel Estado del panel de tareas Administración de TMP en el equipo local aparezca el mensaje que indica que el TPM está desactivado y que se ha asumido la propiedad del TPM, cierre el panel de tareas.

6. Cierre el panel de tareas de Cifrado de unidad BitLocker.

7. Si la unidad flash USB que contiene la contraseña de clave de recuperación está conectada al sistema, utilice el icono Quitar Hardware con seguridad en el área de notificación para quitarlo del sistema.

8. Haga clic en el botón Inicio y, a continuación, haga clic en Apagar para apagar el equipo.

Al reiniciar el equipo, se le pedirá la contraseña de clave de recuperación, ya que la configuración de inicio ha cambiado desde que cifró el volumen.

Para recuperar datos mediante Cifrado de unidad BitLocker

1. Encienda el equipo.

2. En la consola de recuperación de Cifrado de unidad BitLocker, se le pedirá que inserte la unidad de memoria USB portátil que incluye la clave de recuperación o inicio.

   • Si tiene el dispositivo, insértelo y presione ENTRAR. El equipo se reiniciará automáticamente. No necesita introducir la clave de recuperación de forma manual.

   • Si no tiene el dispositivo, presione ESC.

3. En la consola de recuperación de Cifrado de unidad BitLocker, se le pedirá que escriba la contraseña de clave de recuperación. Si conoce la contraseña, escríbala y presione ENTRAR. Si no la sabe, presione ESC dos veces y apague el equipo. Ahora, será necesario que el administrador de red proporcione la contraseña de recuperación.

Escenario 7: Desactivación de Cifrado de unidad BitLocker

El escenario 7 describe la forma de desactivar Cifrado de unidad BitLocker y descifrar el volumen. El procedimiento es el mismo para todas las configuraciones de Cifrado de unidad BitLocker en los equipos con TPM y en los que no tienen TPM compatible.

Al desactivar BitLocker, puede elegir entre deshabilitar BitLocker temporalmente o descifrar la unidad. La deshabilitación de BitLocker permite cambios en TPM y actualizaciones del sistema operativo. Descifrar la unidad implica que el volumen volverá a ser una vez más legible y que se descartará la clave de recuperación. Una vez descifrado el volumen, debe generar una nueva clave de recuperación pasando de nuevo por el proceso de cifrado.

Antes de comenzar

• Deberá haber iniciado la sesión como administrador.

• La unidad deberá estar cifrada.

Para desactivar Cifrado de unidad BitLocker

1. Haga clic en Inicio, seleccione Panel de control, haga clic en Seguridad y, a continuación, en Cifrado de unidad BitLocker.

2. En la pantalla Cifrado de unidad BitLocker, busque el volumen en el que desea desactivar Cifrado de unidad BitLocker y haga clic en Desactivar Cifrado de unidad BitLocker.

3. En el cuadro de diálogo ¿Qué nivel de descifrado desea?, haga clic en Deshabilitar Cifrado de unidad BitLocker o Descifrar el volumen según sea necesario.

   El descifrado de volumen tarda aproximadamente un minuto por gigabyte en completarse.

   Al terminar este procedimiento, habrá descifrado el volumen del sistema operativo.

Registro de errores y comentarios

Dado que Cifrado de unidad BitLocker es una característica nueva de Windows Vista, estamos muy interesados recibir sus comentarios sobre su experiencia con dicha característica, los problemas con los que se ha encontrado y el grado de utilidad que atribuye a la documentación.

Al registrar errores, siga las instrucciones del sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=49779). Asimismo, nos interesan las solicitudes y comentarios generales de Cifrado de unidad BitLocker. Puede enviar sus peticiones y comentarios generales sobre Cifrado de unidad BitLocker a sstartup@microsoft.com.

Recursos adicionales

En los siguientes recursos se ofrece información adicional sobre Cifrado de unidad BitLocker:

• Si necesita soporte técnico del producto, consulte el sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=49779).

• Para tener acceso a los grupos de noticias de Cifrado de unidad BitLocker, siga las instrucciones incluidas en el sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=50067).

Para obtener más información sobre la característica de control de cuentas de usuarios, consulte User Account Control en el sitio Web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=66018) (en inglés).

Soporte técnico del programa de adopción de tecnología

Si es responsable de pruebas beta y forma parte del programa especial beta de adopción de tecnología (TAP), también puede enviar un correo electrónico a vistafb@microsoft.com para obtener asistencia.